국가 후원을 받는 위협 행위자가 글로벌 사이버 스파이 캠페인에서 맞춤형 백도어 2개로 정부 네트워크 경계를 표적으로 삼기 위해 방화벽 장치의 Cisco 제로데이 취약점 2개를 악용했습니다.
이전에 알려지지 않은 공격자(Cisco Talos의 연구원들이 UAT4356으로 추적함)가 "ArcaneDoor"라고 명명한 이 캠페인은 적어도 2023년 XNUMX월부터 여러 Cisco 고객의 Cisco ASA(Adaptive Security Appliance) 방화벽 장치를 표적으로 삼았습니다. 공개 블로그 게시물 인치
행위자의 초기 액세스 벡터는 아직 알려지지 않았지만 일단 발생하면 UAT4356은 두 가지 취약점을 악용하는 "정교한 공격 체인"을 사용했습니다. CVE-2024-20353 지속적인 로컬 실행 결함은 다음과 같이 추적됩니다. CVE-2024-20359 그 이후로 패치되었습니다 — 소규모 Cisco 고객에게 악성 코드를 심고 명령을 실행합니다. Cisco Talos는 또한 ASA의 세 번째 결함을 지적했습니다. CVE-2024-20358, ArcaneDoor 캠페인에서는 사용되지 않았습니다.
연구원들은 또한 공격자가 Microsoft 및 기타 공급업체의 장치에 관심을 갖고 있으며 잠재적으로 공격할 것이라는 증거를 발견했습니다. 따라서 조직에서는 모든 경계 장치가 "적절하게 패치되고, 중앙의 안전한 위치에 기록되며, 강력한 보안을 유지하도록 구성되어 있는지 확인하는 것이 중요합니다." 다중 요소 인증(MFA)'이라고 Cisco Talos는 게시물에 썼습니다.
글로벌 정부를 위한 맞춤형 백도어 악성코드
캠페인에서 의심스러운 활동의 첫 징후는 2024년 초 고객이 ASA 방화벽 장치의 보안 문제에 대해 Cisco PSIRT(제품 보안 사고 대응 팀) 및 Cisco Talos에 문의했을 때 나타났습니다.
Cisco와 정보 파트너가 수개월에 걸쳐 실시한 조사에서는 2023년 1849월 초부터 위협 행위자가 제어하는 인프라가 발견되었습니다. 전 세계적으로 정부 네트워크를 표적으로 삼은 대부분의 공격은 XNUMX월과 XNUMX월 초 사이에 발생했습니다. 또한 Microsoft가 현재 STORM-XNUMX로 추적하고 있는 공격자가 지난 XNUMX월에 해당 기능을 테스트하고 개발했다는 증거도 있습니다.
캠페인의 주요 페이로드는 UAT4356이 함께 사용하여 구성 및 수정과 같은 네트워크에서 악의적인 활동을 수행하는 두 가지 사용자 지정 백도어인 "Line Dancer"와 "Line Runner"입니다. 정찰; 네트워크 트래픽 캡처/탈출; 잠재적으로 측면 이동이 가능합니다.
Line Dancer는 공격자가 임의의 쉘코드 페이로드를 업로드하고 실행할 수 있게 해주는 메모리 상주 쉘코드 해석기입니다. 이 캠페인에서 Cisco Talos는 ASA 장치에서 다음을 포함하여 다양한 명령을 실행하는 데 악성코드가 사용되는 것을 관찰했습니다. show 구성 명령을 실행하고 추출합니다. 패킷 캡처 생성 및 추출 그리고 다른 활동들 중에서 쉘코드에 있는 명령을 실행하는 것입니다.
한편 Line Runner는 부팅 중 장치에 VPN 클라이언트 및 플러그인을 미리 로드할 수 있는 레거시 기능과 관련된 기능을 사용하여 ASA 장치에 배포된 지속성 메커니즘으로, Cisco에 따르면 CVE-2024-20359로 악용될 수 있습니다. 탈로스. 적어도 한 사례에서 위협 행위자는 이 프로세스를 용이하게 하기 위해 CVE-2024-20353을 악용했습니다.
연구원들에 따르면, “공격자들은 이 취약점을 이용하여 대상 ASA 장치를 재부팅하고 Line Runner의 압축 해제 및 설치를 촉발할 수 있었습니다.”
사이버 공격자로부터 경계선을 보호하세요
조직의 내부 네트워크와 인터넷 사이의 가장자리에 있는 경계 장치는 "간첩 중심 캠페인을 위한 완벽한 침입 지점"입니다. 위협 행위자 Cisco Talos에 따르면 "조직으로 직접 전환하고, 트래픽을 다시 라우팅하거나 수정하고, 보안 네트워크로 네트워크 통신을 모니터링할 수 있는 발판을 마련하는 방법입니다."
제로데이 MITRE ATT&CK 테스트 회사의 Adversary Research Team 챕터 책임자인 Andrew Costis는 이러한 장치에서 특히 매력적인 공격 표면이 존재한다고 말합니다. 어택IQ.
"우리는 모든 주류 보안 장비 및 소프트웨어에서 심각한 제로 및 n일 취약점이 악용되는 것을 여러 번 목격했습니다."라고 그는 말합니다. 이반티, 팔로 알토 네트웍스그리고 다른 사람.
Cisco Talos에 따르면 이러한 장치에 대한 위협은 조직이 최신 하드웨어, 소프트웨어 버전 및 구성을 사용하여 "정기적이고 신속하게" 패치를 적용하고 이에 대한 면밀한 보안 모니터링을 유지해야 한다는 필요성을 강조합니다.
또한 조직은 위협 행위자의 침해 후 TTP에 초점을 맞추고 방어 네트워크 운영에 대한 "계층적 접근 방식"의 일환으로 알려진 적의 행동을 테스트해야 한다고 Costis는 말합니다.
ArcaneDoor 사이버 공격 활동 감지
고객이 ArcaneDoor의 표적이 되었다고 의심되는 경우 찾을 수 있는 침해 지표(IoC)에는 ASA 장치에서 블로그에 포함된 IOC 목록에 있는 모든 IP 주소로의 흐름이 포함됩니다.
조직에서는 "메모리 영역 표시 | include lina”를 사용하여 다른 IOC를 식별합니다. Cisco Talos는 "출력에 하나 이상의 실행 가능한 메모리 영역이 표시되는 경우, 특히 이러한 메모리 섹션 중 하나가 정확히 0x1000바이트인 경우 이는 잠재적인 변조의 신호입니다."라고 썼습니다.
또한 Cisco는 패치가 적용된 후 ASA 장치에서 ArcaneDoor 지속성 백도어 Line Runner를 식별하고 제거하기 위해 네트워크 관리자가 수행할 수 있는 두 가지 단계를 제공했습니다. 첫 번째는 disk0의 내용을 검토하는 것입니다. 새 파일(예: "client_bundle_install.zip" 또는 기타 특이한 .zip 파일)이 디스크에 나타나면 Line Runner가 있었지만 업데이트로 인해 더 이상 활성화되지 않았음을 의미합니다.
또한 관리자는 재부팅 시 ASA에서 읽을 확장명이 .zip인 무해한 파일을 생성하는 일련의 명령을 따를 수도 있습니다. disk0에 나타나면 해당 장치에 Line Runner가 있을 가능성이 높다는 의미입니다. 그러면 관리자는 “client_bundle_install.zip” 파일을 삭제하여 백도어를 제거할 수 있습니다.
관리자가 ASA 디바이스에서 새로 생성된 .zip 파일을 찾으면 해당 파일을 디바이스에서 복사하고 이메일로 보내야 합니다. [이메일 보호] CVE-2024-20359에 대한 참조를 사용하고 장치의 "dir disk0:" 및 "show version" 명령 출력과 추출된 .zip 파일을 포함합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/cisco-zero-days-arcanedoor-cyberespionage-campaign
